解读防火墙记录(9)

　　123 动态 S/NTP 简单网络时间协议（S/NTP）服务器运行的端口。它们也会发送到这个端口的广播。

　　27910~27961/udp

　　动态 Quake Quake或Quake引擎驱动的游戏在这一端口运行其服务器。因此来自这一端口范围的UDP包或发送至这一端口范围的UDP包通常是游戏。

　　61000以上 动态 FTP 61000以上的端口可能来自Linux NAT服务器（IP Masquerade）

　　解读防火墙记录（我看到的是什么？）三

　　来源：http://www.robertgraham.com/

　　翻译整理：Tony Shen

　　三） 我发现一种对于同一系列端口的扫描来自于Internet上变化很大的源地址

　　这通常是由于“诱骗”扫描（decoy scan），如nmap。其中一个是攻击者，其它的则不是。

　　利用防火墙规则和协议分析我们可以追踪他们是谁？例如：如果你ping每个系统，你就可以将获得的TTL与那些连接企图相匹配。这样你至少可以哪一个是“诱骗”扫描（TTL应该匹配，如果不匹配则他们是被“诱骗”了）。不过，新版本的扫描器会将攻击者自身的TTL随机化，这样要找出他们回更困难。

　　你可以进一步研究你的防火墙记录，寻找在同一子网中被诱骗的地址（人）。你通常会发现攻击者刚刚试图对你连接，而被诱骗者不会。

　　四） 特洛伊木马扫描是指什么？

　　特洛伊木马攻击的第一步是将木马程序放置到用户的机器上。常见的伎俩有：

　　1) 将木马程序发布在Newsgroup中，声称这是另一种程序。

　　2) 广泛散布带有附件的E-mail

　　3) 在其Web上发布木马程序

　　4) 通过即时通讯软件或聊天系统发布木马程序（ICQ, AIM, IRC等）

　　5) 伪造ISP（如AOL）的E-mail哄骗用户执行程序（如软件升级）

　　6) 通过“文件与打印共享”将程序Copy至启动组

　　下一步将寻找可被控制的机器。最大的问题是上述方法无法告知Hacker/Cracker受害者的机器在哪里。因此，Hacker/Cracker扫描Internet。

　　这就导致防火墙用户(包括个人防火墙用户)经常看到指向他们机器的扫描。他们的机器并没有被攻击，扫描本身不会造成什么危害。扫描本身不会造成机器被攻击。真正的管理员会忽略这种“攻击”

　　以下列出常见的这种扫描。为了发现你的机器是否被种了木马，运行“NETSTAT －an”。查看是否出现下列端口的连接。

　　Port Trojan